Vous êtes sur la page 1sur 40

M K- A U T H

Manual
Instalao do sistema
Configurar rede / radius
Configurar chave SSH
Radius com PPPoE
Radius com Access-List
Radius com HOTSPOT
Webadmin do Sistema
Comando MK-AUTH
Central do assinante

A licena do sistema para um Hard Disk intransfervel pode ser cancela caso acha alguma
irregularidade com respeito a sua limitao.

O sistema no possui nenhuma garantia, seu suporte ser pelo e-mail


suporte@mk-auth.com.br ou pelo frum no site: www.mk-auth.com.br

Se deseja contratar um profissional para fazer a configurao de seu servidor MK-AUTH, clique aqui e
veja os mestres no sistema em seu estado.

ao instalar o mk-auth voce concorda que leu e aceitou o contrato de uso, disponivel em:
www.mk-auth.com.br/page/contrato-de-licenca-para-1

Instalacao
A maioria dos micros vem configurados para dar boot preferencialmente atravs do CD-ROM, neste caso
basta deixar o CD do MK-AUTH na bandeja e voc j cai na tela de boas vindas do cd de instalao, Se no
for o seu caso, pressione a tecla DEL durante o teste de memria para entrar no setup. Procure pela
seo boot e coloque o CD-ROM como dispositivo primrio. Tudo, pronto, agora s salvar a configurao
acessando o menu exit e escolhendo a opo "Save & Exit setup".
Ao reiniciar o micro sem o CD no drive o micro volta a carregar o Windows ou outro sistema que tiver
instalado no HD, esta alterao apenas faz com que ele passe a procurar primeiro no CD-ROM.
Inicie o computador pelo cd de boot do sistema, irar iniciar o Debian Lenny, ele o linux do MK-AUTH por
ter o maior numero possivel de drivers j acompanhado o sistema e pela facilidade de uso, tecle enter e
espere.

M K- A U T H

No caso de algum erro durante o boot, abra um tpico aqui no frum com a descrio do erro para que seja
encontrada uma soluo.
O MK-AUTH tem um instalador prprio que aparece aps o boot do cd e suas telas so as exibidas abaixo:
Um aviso sobre o sistema MK-AUTH.

M K- A U T H

Depois exibida uma tela com informaes sobre o particionamento com cfdisk .

Escolha o HD para instalao.

M K- A U T H

No cfdisk crie a partio swap e do sistema.

Dentro do cfdisk, use as setas para cima e para baixo para selecionar uma partio ou trecho de espao
livre e as setas para a direita e esquerda para navegar entre as opes, que incluem:
Delete: Deletar uma partio, transformando-a em espao livre. Use esta opo para deletar parties j
existentes no HD para poder criar novas.
Create: Cria uma partio usando um trecho de espao livre. O assistente perguntar sobre o tamanho da
partio, em megabytes. Voc ter ainda a opo de criar uma partio primria e uma partio extendida.
Voc pode criar no mximo de quatro parties primrias, uma limitao que vem desde o PC-XT. Mas, por
outro lado pode criar at 255 parties extendidas.
Voc pode criar quantas parties for necessrio e instalar o MK-AUTH em qual delas preferir.
Maximize: Redimensiona uma partio, para que ela ocupe todo o espao disponvel no HD. O processo

M K- A U T H
no destrutivo, pois o sistema simplesmente adiciona o espao adicional no final da partio, sem mexer
no que est gravado, mas de qualquer forma sempre saudvel fazer um backup.
Type: Altera o sistema de arquivos da partio (Linux, FAT, Linux Swap, etc.). Lembre-se de que voc deve
ter no mnimo uma partio Linux e outra Linux Swap.
Bootable: Esta mais uma opo necessria para parties do Windows ou DOS, mas no para o Linux.
Mas a regra bsica que ao usar vrias parties, a partio onde o sistema operacional est instalado seja
marcada com este atributo.
Write: Salva as alteraes, digite yes para confirmar.
Quit: Sair do particionador.
Basicamente, ao usar o cfdisk, voc deve criar duas parties, uma maior para instalar o sistema e outra
menor, de 500 MB ou 1 GB para a memria swap. Ao deletar uma partio antiga voc seleciona o trecho
de espao livre e acessa a opo Create para criar uma partio Linux para a instalao do sistema. Para
criar a partio swap, voc repete o procedimento, criando uma segunda partio Linux, mas em seguida
voc acessa a opo Type e pressiona Enter duas vezes para que o cfdisk a transforme numa partio
swap. Criadas as duas parties, s salvar e sair.
Escolha agora sua partio swap (memoria virtual).

Escolha a partio do sistema.

M K- A U T H

Escolha o sistema de arquivos ext4 (Recomendado), XFS e JFS no momento so as opes.

Cadastre a senha do ROOT.

M K- A U T H

Cadastre o nome do servidor.

Escolha seu modelo de teclado.

M K- A U T H

Tela de confirmao das opes escolhidas.

Momento da instalao, este processo pode levar at 10 minutos.

M K- A U T H

Fim da instalao, vc j pode reiniciar o servidor.

Ateno, aps reiniciar o computador execute o comando mk-auth e escolha fazer update do sistema para
baixar as ultimas atualizaes e correes de bugs.

configuracao rede e radius

M K- A U T H
Aps o computador reiniciar execute o comando mk-auth e escolha a opo configurar rede e configure o
sistema com o endereo de IP:
ip 172.31.255.2 mascara: 255.255.255.0 gateway: 172.31.255.1 dns: 8.8.8.8 e 8.8.4.4

Coloque o ip 172.31.255.1/24 na placa de rede de seu MikroTik que irar se comunicar com o seu mk-auth e
o ip 10.3.0.1/22 na placa de comunicao dos clientes.
/ip address
add address=172.31.255.1/24 broadcast=172.31.255.3 comment="MK-AUTH" disabled=no
network=172.31.255.0
add address=10.3.0.1/22 broadcast=10.3.3.255 comment="PG CORTE" disabled=no network=10.3.0.0
cuidado para no fazer controle de banda nesta placa pois ela quem se comunica com mikrotik:

M K- A U T H

Para configurar no mikrotik clique na opo radius no winbox depois clique no boto + e marque service
hotspot, wireless e ppp, address coloque 172.31.255.2 e secret 123456 em ports coloque 1812 e 1813:

M K- A U T H

Depois clique no boto incoming e ative a opo accept e coloque o valor 3799 em port:

M K- A U T H

Depois clique em IP/SNMP e configure as opes de snmp de seu mikrotik:

M K- A U T H

ateno: cuidado para com regras em seu mikrotik que bloqueiam a comunicao entre o mikrotik e o mkauth e tambm ao cria regras de iptables para bloqueio por conta prpria no mk-auth que tambm
atrapalham na comunicao.

configurar ssh
No terminal digite o comando mk-auth e escolha a opo gerar chave ssh.

M K- A U T H

No webadmin, clique em provedor, configuraes irar aparecer o link para vc fazer o download de sua
chave SSH.

Aps o download abra o winbox e em files import sua chave.

M K- A U T H

Depois em users crie um usurio chamado mkauth com nivel full de acesso:
Ateno, crie uma senha para o usurio mkauth e coloque o ip do mk-auth em
allowed address para evitar acesso indevido.

M K- A U T H

Depois clique na aba SSH Keys escolha o usuario mkauth e escolha o key file chave.pub e import.

importante que o SSH funcione corretamente, pois alguns recursos como paginas de aviso e corte e log
de sinal somente iram funcionar com SSH ativo, aps exportar a chave em mikrotik clique em detalhes no
mikrotik e depois no boto teste SSH, uma regra desabilitada enviada para o filter do mikrotik com
o comentrio seguinte:
TESTE DO MK-AUTH PARA USO COM SSH.

M K- A U T H

Ao bloquear um cliente se o ip do mesmo no estiver configurado no cadastro no sistema e o ramal que o


cliente usa tambem no for o correto o sistema no irar enviar o comando por SSH para que seja incluido o
ip na address-list do MikroTik para ser exibida a pagina de corte e irar bloquear o cliente diretamente no
servidor radius.
DHCP
Pode-se configurar o cliente tool fetch do MikroTik para controlar o DHCP, pois a melhor forma agora para
enviar os ips do DHCP ao MikroTik.
Usando o script do link abaixo, primeiro faa um update do sistema, ento preciso que seus clientes
tenham o IP e MAC definidos no cadastro deles. esse script do link vc cola no terminal do MikroTik, no
codigo dele vc altera se for preciso ip do mk-auth 172.31.255.2 e a altera key_apique vc pega na pagina
de dados do provedor no webadmin.
www.mk-auth.com.br/tool_fetch/dhcp.txt
O script todo automatico, ele coloca e remove os ips do DHCP sozinho a cada 45 minutos.

M K- A U T H

Radius com PPPoE


Primeiro em IP/POOL o pool Local-1 para seu servidor com endereos entre 10.1.0.1-10.1.5.254, depois crie
outro pool chamado Remoto-1 para seus clientes com endereos entre 10.2.0.1-10.2.5.254.

M K- A U T H

Depois em PPP profiles crie um profile padro, coloque o nome pppoe,


Local Address escolha o pool Local-1,
Remote Address escolha Remoto-1,
DNS server coloque o ip do seu mikrotik, as outra opes deixe como abaixo:

M K- A U T H

Para criar o servidor PPPoE, Abra PPP clique em PPPoE Server, clique no no sinal de + e coloque em Services
Name: servidor-pppoe, Intafaces escolha sua placa de conexo com seu clientes, MAX MTU/MRU coloque
1488, Keepalive Timeout coloque o valor, Default Profile escolha o que acabamos de cria pppoe, marque
One Session Per Host e em Authentication marque chap.

M K- A U T H

Por ultimo para que seus clientes possa se conectar pelos dados no MK-AUTH clique em secrets, boto AAA
e marque Use Radius e Accounting em Interim Update coloque 00:05:00.

M K- A U T H

Exibir pagina de corte usando Radius LIST ou SSH:


/ip firewall filter
add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE" src-address-list=pgcorte
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE" src-address-list=pgcorte
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE" src-address-list=pgcorte
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="CORTE" dst-port=80 protocol=tcp
src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
Exibir pagina de corte usando Radius Pool:
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes
/ip firewall filter
add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE" src-address=10.3.0.210.3.3.254
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE" src-address=10.3.0.2-

M K- A U T H
10.3.3.254
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE" src-address=10.3.0.210.3.3.254
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="CORTE" dst-port=80 protocol=tcp
src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

Radius com Access-List


Nas configuraes da sua placa sem fio, desative o Default Authenticate e selecione o Security Profile que
voce configurou com o radius:

No Security Profile usado pelo seu sistema altere na guia RADIUS para que funcione autenticao do MAC
com servidor radius:

M K- A U T H

Caso deseje usar criptografia WEP por a mesma exigir menos processamento em seu provedor coloque a
guia general do Security Profile:

M K- A U T H

Caso deseje usar criptografia WPA que mais forte mais exige mais processamento em seu provedor
coloque a guia general do Security Profile:

M K- A U T H

Ateno no cadastro do cliente preciso marca a opo usar access-list como sim e que o MAC seja
cadastrado para liberar a conexo e caso use uma das duas formas de criptografia preciso definir qual
delas irar usar e colocar a chave.
Obs: chaves wep tem que ter 5 ou 13 caracteres e chaves wpa preciso que no minimo seja 8 carecteres.

Radius com HOTSPOT


Clique em IP depois em HOTSPOT na aba servers clique em profiles e preencha como abaixo:

M K- A U T H

Depois clique na aba RADIUS, marque a opo use RADIUS, marque Accounting, em Interim Update
coloque 00:05:00 e NAS Port Type use ethernet.

M K- A U T H

Os clientes do radius usam o user profile default do hotspot, por isso alguns configuraes para os mesmo
tem que ser feitas nesse profile, como para evitar login simultaneos com hotspot coloque na opo Shared
Users o valor 1 e se no for usar o proxy do prprio MikroTik desmarque a opo Transparent Proxy.

M K- A U T H

O sistema tem paginas personalizadas para o hotspot que j tem a configurao necessria para exibir as
paginas de aviso de atraso e titulos que esto prximos de vencer clique aqui para baixar.

M K- A U T H

Para que seus clientes possam acessar sistema mesmo sem conexo crie esta regra em Walled Garden:
clique em adicionar, deixe allow marcado e em Dst. host. coloque 172.31.255.2 e em Dst. Port coloque 80 e
tambem adicione para porta 85.
Ateno abra somente este ip e portas por risco de conexo no autorizada.

M K- A U T H

Seus clientes poderam fazer a prpria assinatura e acessar a central mesmo aps bloqueados para retirar
2 via de boletos emitidos.
Exibir pagina de corte usando Radius LIST ou SSH:
/ip firewall filter
add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE" src-address-list=pgcorte
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE" src-address-list=pgcorte
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE" src-address-list=pgcorte
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="CORTE" dst-port=80 protocol=tcp
src-address-list=pgcorte to-addresses=172.31.255.2 to-ports=85
Exibir pagina de corte usando Radius Pool:
/ip pool
add name=pgcorte ranges=10.3.0.2-10.3.3.254
/ip address
add address=10.3.0.1/22 broadcast=10.3.3.255 network=10.3.0.0 interface=Placa do clientes

M K- A U T H
/ip firewall filter
add action=drop chain=forward dst-port=!53 protocol=udp comment="CORTE" src-address=10.3.0.210.3.3.254
add action=drop chain=forward dst-port=!80 protocol=tcp comment="CORTE" src-address=10.3.0.210.3.3.254
add action=drop chain=forward dst-port=!85 protocol=tcp comment="CORTE" src-address=10.3.0.210.3.3.254
/ip firewall nat
add action=dst-nat dst-address=!172.31.255.2 chain=dstnat comment="CORTE" dst-port=80 protocol=tcp
src-address=10.3.0.2-10.3.3.254 to-addresses=172.31.255.2 to-ports=85

webadmin
Aps instalar vc pode comear a configurao usando o navegador acessando a
url http://172.31.255.2/admin

Use o Login: admin e a senha:123

Abaixo a pagina inicial, para comear a usar o sistema primeiro criei um plano de acesso, escolhendo o
menu provedor e o item planos, depois cadastre clientes escolhendo o menu cliente e o item inserir
clientes.

M K- A U T H

Configuraes do boleto bancrio, aps incluir uma conta caso ainda no tenha o modulo de cobrana ativo
em seu banco clique no link carta de homologao para gerar uma carta para o banco com 20 boletos junto
para analise bancaria.

M K- A U T H

Ferramentas do sistema e controle do servidor, aqui possivel ver graficos de uso da memoria ram,
processador, processos, conexes, trafego de rede e carga do disco. Tambm tem os icones para reiniciar o
servidor, desliga-lo e reparar as tabelas do banco de dados.

M K- A U T H

Grafico com o uso da memoria RAM, mostrar o uso diario, uso semanal, uso mensal e uso anual.

M K- A U T H

Comando mk-auth
Para utilizar o menu do MK-AUTH com as configuraes basicas do sistema.
faa login com o usuario: root e a senha: que foi colocado durante a instalao do sistema.

M K- A U T H

abaixo um descrio de cada funo:


1 - Mostrar informaes sobre o uso do disco rigido.
2 - Reseta a senha do webadmin em caso de esquecimento.
3 - Gerar nova chave SSH para enviar ao mikrotik.
4 - Faz um backup de emergencia e envia por e-mail.
5 - Gera todos os titulos do clientes do sistema.
6 - Atualiza o sistema para a verso mais atual.
7 - Regrava no banco de dados os registros dos clientes.
8 - Configura o IP do servidor na placa de rede escolhida.

Central do Assinante
O cliente conta com uma central de acesso unica, com opo de alterao de dados cadastrais, troca de
senha, 2 via de boleto, financeiro, relatrios de acessos e suporte por chamados...

M K- A U T H

Pagina principal da central do assinante:

M K- A U T H

Alterao da senha de acesso no provedor:

os servios abaixo esto disponiveis ao assinante na central:

Informaes de cadastro

Disco Virtual

Alterao dos dados cadastrais

Alterao de senha de acesso

Segunda via de boletos

Mensagens de aviso

Histrico de chamados

Abertura de chamados tcnico

Histrico de conexes

Velocimentro de conexo